POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

INTRODUCCIÓN A LA POLÍTICA DE TRATAMIENTO DE DATOS

Mercy Corps está comprometida con el apropiado manejo de los datos, desde todos los procesos velando por su confidencialidad y contando con herramientas tecnológicas adecuadas para su almacenamiento y buen uso.

OBJETIVO DE LA POLÍTICA DE TRATAMIENTO DE DATOS:

Dar cumplimiento con la Ley vigente de tratamiento de datos personales 1581 de 2012, el decreto 1377 de 2013 y demás normas que las complementan.

AUTORIZACIÓN:

Mercy Corps como responsable de la captura y uso de la informaciónbásica de los datos, pone a disposición de los interesados la Política de Tratamiento de Datos en la página web: www.mercycorps.org.co en la que encontrará:

• •  Políticapara el tratamiento de la información personal.
• •  Formato de autorización para el tratamiento de información personal.
• •  Procedimiento para solicitar al titular autorización para el tratamiento de sus datos, el cual está incluido en la política.

APLICABILIDAD DE LA AUTORIZACIÓN:

Los datos personales requeridos por la organización son para, y sin limitación a, las siguientes finalidades:

• •  Vinculación a la Organización.
• •  Actividades comerciales (compra de productos o contratación de servicios).
• •  Realizar convocatorias.
• •  Suministrar información complementaria en convocatorias.
• •  Analizar propuestas recibidas.
• •  Suscribir contratos.
• •  Ejecutar contratos suscritos.
• •  Realizar pago de obligaciones contractuales.
• •  Realizareventos (convocatorias, invitaciones, participaciones, etc.).
• •  Ejecutar proyectos.
• •  Realizar estudios de mercado.
• •  Aplicarencuestas a participantes (línea base, sondeos, investigaciones, etc.).
• •  Analizardatos de la línea base, estadísticas de participantes atendidos, evaluación de proyectos y otros requeridos.
• •  Realizarvideos y toma de fotografías en el desarrollo de los proyectos.
• •  Respondery ejercer auditorias en la ejecución normal de los contratos suscritos.
• •  Soportarprocesos de auditoría interna y externa.
• •  Respondera requerimientos de donantes y contrapartes (informes, auditorias, otros).
• •  Enviary recibir mensajes con fines laborales, comerciales, publicitarios y/o atenciónal cliente.

AUTORIZACIÓN PARA TRATAMIENTO DE DATOS SENSIBLES:

Cuando se trate de la recolección de datossensibles se deben cumplir los siguientes requisitos:

• •  La autorización debe ser explícita.
• •  Sedebe informar de forma explícita y previa al Titular cuáles datos serán objetode tratamiento como datos sensibles y la finalidad de este.

Autorización de tratamiento de datos de niños, niñas y adolescentes(NNA)

Cuando se trate de la recolección y tratamiento de datos de niños, niñasy adolescentes se deben cumplir los siguientes requisitos:

• •  La autorización debe ser otorgada por personas que estén facultadas pararepresentar a los NNA. El representante de los NNA deberá garantizarles elderecho a ser escuchados y valorar su opinión del tratamiento teniendo encuenta la madurez, autonomía y capacidad de los NNA para entender el asunto.
• •  Se debe informar que es facultativo responder preguntas sobre datos de los NNA.
• •  El tratamiento debe respetar el interés superior de los NNA y asegurar el respetode sus derechos fundamentales.
• •  Se debe informar de forma explícita y previa al Titular cuáles de los datos serán objeto de tratamiento comosensibles y la finalidad de este.

CALIDAD O VERACIDAD DEL DATO

Los datos de carácter personal recolectados deben ser veraces,completos, exactos, comprobables, comprensibles y mantenerse actualizados. Seprohíbe el tratamiento de datos parciales, fraccionados, incompletos o queinduzcan a error.

PROCEDIMIENTOS PARA LA TOMA DE AUTORIZACIÓN

Para participantes

Referente al levantamiento deencuestas de línea base, evaluaciones intermedias, seguimiento, pretest y postest a los participantes:

Consiste en tomar la firma de la persona Titular de los datos, en el formato de autorización de tratamiento de datos personales, en el momento del levantamiento de la información. Para el caso de las personas que no saben leer ni escribir, quien toma la información deberá leer todo el contenido del formato de autorización y si el participante está de acuerdo, pondrá su huella digital dando su autorización para el tratamiento de los datos.

En el caso de aplicación de encuestas en papel, el participante firmará en un campo al final de la última hoja de la encuesta, dando su consentimiento sobre tratamiento de los datos según lo dispuesto en la política para este fin de Mercy Corps basada en la Ley 1581 de 2012 y el decreto 1377 de 2013.

Cuando los datos personales son capturados vía tabletas, el participante firmará en el campo electrónico correspondiente, diseñado en el formulario electrónico de la tableta, dando su consentimiento en los mismos términos citados en el párrafo anterior. Para el caso de las personas que no saben leer ni escribir, quien aplica la encuesta deberá leer todo el contenido del formato de autorización y si el participante está de acuerdo, el encuestador seleccionará en el campo asignado en el formulario electrónico de la tableta la siguiente nota “el beneficiario manifiesta no saber firmar”, la persona que está realizando la encuesta debe leer y entregar el formato de autorización impreso al participante para que ponga su huella digital dando su autorización para el tratamiento de los datos.

Complementario a la firma del formato de autorización de tratamiento de datos personales (ver Anexo 1 - Formato autorización uso datos personales), los participantes firmarán la autorización del formato de consentimiento informado (ver Anexo 2023Consentimiento_Informado) para determinar qué tipo de registros (audio,video, fotografía), puede ser utilizado para publicaciones internas y externas.

Procedimiento para proveedoresy contratistas

Los contratistas, consultores y proveedores en general diligenciarán el formato de autorización de manejo de datos personales y lo adjuntarán a la hoja de vida, a la cotización o a la propuesta enviada a Mercy Corps (Ver Anexo03SEG-FormatoAutorizaciónUsoDatosPersonales2017)

Procedimiento personas vinculadas a Mercy Corps

Empleados, pasantes, aprendices, voluntarios deben diligenciar el formato de autorización de tratamiento de datos debidamente diligenciado y firmado (Ver Anexo03SEGFormatoAutorizaciónUsoDatosPersonales2017).

CANALES PARA LA REVOCATORIA DE AUTORIZACIÓN:

Participantes

Deberá enviar una comunicación escrita al oficial de proyecto, la gerencia del programa, el técnico de monitoreo y evaluación o Gerencia de monitoreo y evaluación en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 300 910-9995 por WhatsApp o llamada o al correo electrónico preguntas@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

Proveedores y contratistas:

Deberá enviar una comunicación escrita a la coordinación de compras y servicios, en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 300 910-9995 por WhatsApp o llamada o al correo electrónico co-info@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

Personas vinculadas a Mercy Corps:

Deberá enviar una comunicación escrita al personal administrativo o a Gestión Humana, en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 300 910-9995 por WhatsApp o llamada o al correo electrónico co-info@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

PROTECCIÓN DE LOS DATOS:

Las bases de datos deben estar protegidas con control de acceso a la red o recursos compartidos, los archivos deben estar protegidos con contraseñas, solo pueden ser suministrados a terceros con autorización de la Gerencia de Monitoreo y Evaluación, la Gerencia de Operaciones o la Dirección de País.

Los documentos impresos que contengan información o datos personales no podrán ser utilizados como papel reciclable, deben estar en lugares seguros, custodiados por el personal responsable.

Los documentos que contengan datos personales, cuando han cumplido su fin se deben destruir en la trituradora de papel.

DEBERES DE MERCY CORPS EN EL TRATAMIENTO DE DATOS

• •  Garantizar el derecho del titular al tratamiento de sus datos personales.
• •  Solicitar y conservar copia de la autorización de manejo de datos del titular.
• •  Conservarla información bajo las condiciones de seguridad necesarias para impedir supérdida, acceso no autorizado o uso indebido de la información.
• •  Rectificarla información cuando sea necesario.
• •  Tramitar las consultas, quejas o reclamos formulados en los términos de la ley.
• •  Informaral titular sobre el uso de sus datos.
• •  Informara la autoridad de protección de datos cuando se presenten violaciones a los términos de esta política. Entiéndase como autoridad de protección la Delegatoria para la Protección de Datos Personales, dentro de la Superintendencia de Industria y Comercio.

DERECHO DE LOS TITULARES DE DATOS:

(Tomado textualmente de la Ley Estatutaria 1581 de 2012)

• •  “Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan al error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. Solicitar prueba de la autorización otorgada al responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012”.
• •  “Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento,previa solicitud, respecto del uso que le ha dado a sus datos personales”.
• •  “Presentarante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen,adicionen o complementen”.
• •  “Revocarla autorización y/o solicitar la supresión del dato cuando en el Tratamiento nose respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria yComercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución”
• •  “Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento”.

PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES

• •  Principio de Legalidad: Los datos personales e informaciónse encuentran regidos en la ley 1581 de 2012 y el decreto 1377 de 2013.
• •  Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• •  Principio de Calidad: La información suministrada o recolectada de los Titulares de los datos, debe ser completa, exacta, actualizada y que no induzca al error.
• •  Principio de Acceso y Circulación Restringida: Entiéndase como los límites que se derivan del tratamiento de la información personal y el tratamiento de las normas. Los datos no podrán estar disponibles en medios de comunicación masiva salvo que su acceso pueda ser controlado porel titular o un tercero autorizado.
• •  Principio de Seguridad: La información sujeta a esta normatividad debe manejarse con las mínimas medidas técnicas humanas y administrativas que sean necesarias para otorgar la seguridad a los registros, evitando perdida, consulta, uso o acceso noautorizado o fraudulento.
• •  Principio de Confiabilidad: Todas las personas que intervengancon los datos objeto de esta política deben garantizar la reserva de lainformación, antes, durante y después del proceso.

DEFINICIONES

• •  Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de susDatos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma deacceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
• •  Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• •  Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
• •  Dato personal: Cualquier información vinculada oque pueda asociarse a una o varias personas naturales determinadas o determinables.
• •  Datos personales sensibles: Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la personay pueden ser recolectados únicamente con el consentimiento expreso e informadode su titular y en los casos previstos en la ley.
• •  Encargado del tratamiento: Persona natural o jurídica, públicao privada, que por sí misma o en asocio con otros, realice el tratamiento dedatos personales por cuenta del responsable del tratamiento. En Mercy Corps los encargados del tratamiento de los datos son: Gerencia de Programas, Gerencia de Monitoreo y Evaluación, Coordinador Administrativo, Oficial de Recursos Humanos, Gerencia de Operaciones, Coordinación de Compras y Servicios,Coordinador de Tecnología de la Información y Gerencia de Comunicaciones.
• •  Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos, la finalidad, los medios esenciales, la forma como se hará el uso y en general, todo aquello relacionado con el tratamiento de los mismos. En Mercy Corps el responsable del Tratamiento es la Dirección de País.
• •  Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
• •  Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento,uso, circulación o supresión.
• •  Habeas Data: Ejercicio de una acciónconstitucional o legal, que tiene cualquier persona que figura en un registro obanco de datos, de acceder a tal registro para conocer qué información existe sobre su persona, y de solicitar la corrección o eliminación de esa informaciónsi le causara algún perjuicio. También puede aplicarse el derecho alolvido, esto es,el derecho a eliminar información que se considera obsoleta por el transcurso del tiempo y ha perdido relevancia para seguir siendo informada.